Cloudflare, uma das empresas conceituadas quando o assunto é segurança na web falhou. Sabemos que nos dias atuais ataques cibernéticos são comuns e podem acontecer a qualquer momento. Mas, o Cloudflare que é tido como especialista em mitigar ataques DDoS ao redor do mundo, parece que não conseguiu cumprir bem o seu papel. Além disso, Cloudflare publicou em seu blog uma matéria se orgulhando da mitigação que fez, mas parece que na prática não é bem assim.
Cloudflare não mitigou ataque DDoS ao SempreUpdate
No último dia 13, nós o SempreUpdate sofremos um ataque massivo DDoS. No primeiro dia tivemos mais de 25 milhões de hits distribuídos em frações generosas. No entanto, não fomos notificamos por e-mail, como o Cloudflare costuma fazer.
Alguns usuários do Cloudflare comentaram que a empresa costuma enviar e-mails alertando sobre o possível ataque DDoS ou que mitigaram a tentativa do ataque. Mas, somente descobrimos o ataque quando os nossos servidores começaram a chegar aos 100% de uso e até ficar fora do ar.
O ataque DDoS ao SempreUpdate foi um sucesso, sim os hackers conseguiram o que queriam. Não sabemos os motivos e não recebemos nenhum e-mail pedindo dinheiro, como acontece por aí.
Enquanto isso, no painel da Cloudflare, tudo era exibido como bloqueado. Mas, o servidor do site não mostrava isso, os ataques estavam passando normalmente.
Cloudflare e o ataque DDoS
Na última semana, a Cloudflare publicou em seu blog que mitigou um generoso ataque DDoS e que inclusive o seu cliente era de plano gratuito. Mas, nós do SempreUpdate sempre utilizamos um plano pago, e mesmo assim o ataque DDoS não foi interrompido.
Assim que percebemos o ataque, rapidamente acionamos o profissional que cuida da nossa infra, ele inseriu algumas regras gerenciáveis no painel do Cloudflare. Porém, uma mensagem bonita já era exibida no Cloudflare dizendo que eles haviam mitigado o ataque, só que não.
Por algum motivo, e nunca saberemos, o Cloudflare deixou passar todos os hits fazendo com que o nosso site ficasse fora do ar por quase 3 dias. Então, fomos enviar um ticket para o suporte, para nossa surpresa a opção de abrir o ticket havia sido removida.
Enviamos um e-mail para alguns contatos da Cloudflare mas também não tivemos sucesso. Mas, surpreendentemente a Cloudflare enviou e-mails, sim, vários e-mails, ofertando o plano Enterprise a partir de 5 mil dólares mensais com permanência mínima de 12 meses.
E assim, após a contratação, a Cloudflare iria mitigar o ataque rapidamente com a ajuda de seus engenheiros. Antes disso, conseguimos abrir o ticket por e-mail, onde o analista de suporte solicitou que criássemos algumas regras.
Mas, pelo visto ele se quer olhou para o nosso site, pois as regras que ele havia recomendado já havia sido criada. E mais uma vez, não funcionou. Mesmo seguindo todos os passos dos links enviados pelo suporte, nada deu certo.
Por um momento, pensamos que o ataque poderia estar camuflado ou seria algo novo que ninguém havia enfrentado.
Ataque DDoS ao SempreUpdate, solução!
A solução do ataque DDoS ao SempreUpdate foi a troca de serviço. Como não conseguimos resolver o ataque DDoS com a ajuda da Cloudflare, fomos em busca de outras soluções. Tentamos plugins para o WordPress como o Wordfence, mas não conseguíamos nem ativar.
Por fim, lembramos da Sucuri, uma empresa conhecida por sua especialidade em mitigar ataques. Os passos foram os mesmos da Cloudflare, criamos a conta, pagamos, criamos a regra com a mesma lógica que utilizamos na Cloudflare, e adivinhe? Problema resolvido.
Rapidamente, os ataques DDoS ao SempreUpdate começaram a ser bloqueados pela Sucuri sem grande esforço. Chamamos o analista pelo chat da Sucuri que nos ajudou a abrir um ticket para a equipe de segurança monitorar o site.
Por fim, fomos bem atendidos e o problema foi resolvido em menos de 30 minutos, e nós já estávamos com o site fora do ar na Cloudflare por quase 3 dias. Assim, a Cloudflare falhou em não ter mitigado o ataque DDoS e falhou ao não prestar suporte adequado.
Conclusão
Se você tem algum serviço online hospedado no Cloudflare, esteja sempre de olhos bem abertos. Às vezes, você pode ser vítima de ataques que podem ter alto nível de sucesso. Mas, felizmente não tivemos perda de dados ou algo comprometido, o ataque foi puramente DDoS.
Não confie em hipótese alguma no que a Cloudflare exibe em seu painel, você pode ter sido vítima e nunca soube ou saberá. Tenha logs ativos em seu servidor, esteja de olho em tudo o que você puder monitorar do seu lado.
Além disso, conheça e leia sobre soluções e alternativas ao Cloudflare. Inclusive há especialistas que dizem que na atualidade o Cloudflare atrapalha mais do que ajuda, que alguns de seus clientes ficaram com o site fora do ar devido a uma pane no Cloudflare.
Fique atento, e evite passar pelo o que passamos, foi um misto de caos mas sem desespero. Por fim, vamos aguardar a Cloudflare se posicionar o que é quase impossível.
